Cyberthreat.id - Penelitian baru menemukan hampir 12.000 perangkat firewall Juniper yang terekspos ke internet rentan terhadap kelemahan eksekusi kode jarak jauh yang baru-baru ini diungkapkan.

VulnCheck, yang menemukan eksploitasi baru untuk CVE-2023-36845, mengatakan kepada The Hacker News, bahwa eksploitasi tersebut dapat dieksploitasi oleh "penyerang jarak jauh dan tidak diautentikasi untuk mengeksekusi kode arbitrer di firewall Juniper tanpa membuat file di sistem."

CVE-2023-36845 mengacu pada kelemahan dengan tingkat keparahan sedang pada komponen J-Web OS Junos yang dapat digunakan oleh pelaku ancaman untuk mengendalikan variabel lingkungan tertentu yang penting.

Itu telah ditambal oleh Juniper Networks bulan lalu bersama CVE-2023-36844, CVE-2023-36846, dan CVE-2023-36847 dalam pembaruan di luar siklus.

Eksploitasi proof-of-concept (PoC) berikutnya yang dirancang oleh watchTowr menggabungkan CVE-2023-36846 dan CVE-2023-36845 untuk mengunggah file PHP yang berisi shellcode berbahaya dan mencapai eksekusi kode.

Eksploitasi terbaru, di sisi lain, berdampak pada sistem lama dan dapat ditulis menggunakan satu perintah cURL. Secara khusus, mereka hanya mengandalkan CVE-2023-36845 untuk mewujudkan tujuan yang sama.

Hal ini, pada gilirannya, dicapai dengan menggunakan aliran input standar (alias stdin) untuk mengatur variabel lingkungan PHPRC ke "/dev/fd/0" melalui permintaan HTTP yang dibuat khusus, yang secara efektif mengubah "/dev/fd/0" menjadi file darurat, dan membocorkan informasi sensitif.

Eksekusi kode sewenang-wenang kemudian dicapai dengan memanfaatkan opsi auto_prepend_file danallow_url_include PHP bersama dengan pembungkus protokol data://.

“Firewall adalah target yang menarik bagi APT karena membantu menjembatani jaringan yang dilindungi dan dapat berfungsi sebagai host yang berguna untuk infrastruktur C2,” kata Jacob Baines.

"Siapa pun yang memiliki firewall Juniper yang belum ditambal harus memeriksanya untuk mencari tanda-tanda kompromi."

Juniper kemudian mengungkapkan bahwa mereka tidak mengetahui adanya eksploitasi yang berhasil terhadap pelanggannya, namun memperingatkan bahwa mereka telah mendeteksi upaya eksploitasi di alam liar, sehingga penting bagi pengguna untuk menerapkan perbaikan yang diperlukan untuk mengurangi potensi ancaman.[]